公开(公告)号：CN110222715A

公开(公告)日：2019-09-10

申请号：CN201910375363.6

申请日：2019-05-07

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明提供一种基于动态行为链和动态特征的样本同源分析方法，步骤如下：1：收集整理攻击样本；2：将训练样本集进行分类处理；3：将训练样本集投入沙箱运行；4：将样本进行排序整理，生成动态行为链；5：使用以训练数据集提取的行为链训练同源分析决策树模型；6：提取行为链和样本IOCs信息；7：测试数据集通过决策树模型判断所属APT组织，或所属恶意家族和类型；8：测试数据集通过知识库模糊匹配IOCs信息，得出同源信息；9：得出最终同源分析结论；本发明达到了从动态行为入手，对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果，解决了传统同源分析手段导致的样本特征单一，人工分析效率低投入大等实际问题。

公开(公告)号：CN110149343A

公开(公告)日：2019-08-20

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

公开(公告)号：CN109784057A

公开(公告)日：2019-05-21

申请号：CN201910008863.6

申请日：2019-01-04

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 严寒冰 ,  何能强 ,  丁丽 ,  李佳 ,  张华 ,  秦佳伟 ,  王森淼 ,  马宏谋 ,  石亚彬 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳 ,  沈阿娜 ,  占深信 ,  黄薪宇 ,  杜代忠

IPC: G06F21/56

Abstract: 本发明涉及一种安卓应用加固识别方法、控制器及介质，所述方法包括：获取待检测APK的四大组件比例和/或可疑文件比例，将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

公开(公告)号：CN108737373A

公开(公告)日：2018-11-02

申请号：CN201810324981.3

申请日：2018-04-12

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  韩志辉 ,  何永强 ,  吴毓书 ,  张萌 ,  杨亚龙 ,  杨华 ,  李世淙 ,  陈阳 ,  徐剑 ,  饶毓 ,  严寒冰 ,  丁丽 ,  李佳 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  吕利锋 ,  何能强 ,  李挺 ,  王适文 ,  刘婧 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川

IPC: H04L29/06

CPC classification number: H04L63/302 ,  H04L63/1433

Abstract: 本发明提供一种针对大型网络设备隐匿技术的安全取证方法,其步骤如下：1、获取网络设备的底层权限；2、在目标设备的底层系统创建一个进程；3、在该进程中注册异常函数，接管最终异常事件；4、在该进程中注册相关信息的取证函数API-Application Programming Interface，包括：获取系统日志信息函数、获取相关文件信息函数、获取进程信息函数、获取网络信息函数、获取内核信息函数、获取磁盘信息函数；5、创建一个管道；6、根据用户输入，确认取证信息的类别；7、执行相应的取证函数，通过管道回传到本地。本发明实现了针对大型网络设备Rootkit安全取证方法，解决了现有信息取证方法的局限性。

公开(公告)号：CN108710800A

公开(公告)日：2018-10-26

申请号：CN201810495785.2

申请日：2018-05-22

Applicant: 国家计算机网络与信息安全管理中心 ,  中时瑞安(北京)网络科技有限责任公司

Inventor： 王适文 ,  何能强 ,  严寒冰 ,  孙才俊 ,  秦素娟 ,  张华 ,  丁丽 ,  李佳 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F21/56 ,  G06K9/62

CPC classification number: G06F21/562 ,  G06K9/6267

Abstract: 本发明涉及一种安卓应用程序的加壳识别方法，包括从已标记的APK文件中提取应用特征，构建样本集，其中，所述已标记的APK文件包括标记为加固的APK文件和标记为未加固的APK文件；将所述样本集划分为训练集和测试集；根据所述样本集和测试集训练预设分类器，选择最优分类器；将待检测的APK文件输入所述最优分类器来识别其是否加壳。本发明采用静态方式提取特征，利用机器学习模型对安卓应用程序进行加壳识别，提高了加壳识别的效率和准确率。

公开(公告)号：CN108615199A

公开(公告)日：2018-10-02

申请号：CN201810448870.3

申请日：2018-05-11

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学(威海)

Inventor： 严寒冰 ,  张兆心 ,  朱天 ,  丁丽 ,  李佳 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  饶毓 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静

IPC: G06Q50/00 ,  G06F17/30

Abstract: 本发明提供一种基于互联网公开论坛注册情况的用户活动轨迹挖掘方法，其解决了现有方法无法追溯互联网虚拟用户身份的技术问题；包括以下步骤：步骤1，通过论坛站点拓展发现当前互联网空间中的论坛站点，即进行域名收集；步骤2，识别域名是否为中文论坛站点；步骤3，通过基于注册机制的论坛站点查重接口发现探测用户互联网论坛活动行迹。本发明广泛应用于信息技术领域。

公开(公告)号：CN103942491A

公开(公告)日：2014-07-23

申请号：CN201310729190.6

申请日：2013-12-25

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李轶夫 ,  王永刚 ,  赵忠华 ,  姚珊 ,  徐剑

IPC: G06F21/56

CPC classification number: G06F21/552 ,  G06F21/56

Abstract: 本发明公开了一种互联网恶意代码处置方法，包括：步骤S101，匹配可疑样本，计算可疑样本文件的哈希值，与已分析样本进行对比，判断是否已经分析过，如果是，则直接返回该可疑样本的已有分析结果；如果否，则转步骤S102；步骤S102，对于未分析过的可疑样本，调用杀毒引擎进行病毒扫描，判断该可疑样本是否属于已知恶意代码，如果是，则获得该恶意代码的信息；如果否，则转步骤S103；步骤S103，当可疑样本属于未知恶意代码时，进行全面的动态分析，得到恶意代码分析报告。本发明能自动快速分析各种恶意代码，生成恶意代码分析报告，为研究恶意代码防御和清除方法提供依据。

公开(公告)号：CN102521838B

公开(公告)日：2013-11-27

申请号：CN201110427104.7

申请日：2011-12-19

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李鹏 ,  孙波 ,  王永建 ,  何跃鹰 ,  袁春阳 ,  刘辉

IPC: G06T7/00 ,  G06F17/30

Abstract: 本发明公开了一种图像检索/匹配方法。该方法首先求取两幅图像的初始匹配特征点集，然后判断并消除误匹配特征点对，再根据正确匹配特征点对的数量判断两幅图像是否匹配；其中，判断是否为误匹配特征点对，包括：在两幅图像中，分别以初始匹配特征点为中心，将图像均划分为两个以上的区域，并对各区域编号；在两幅图像中，分别以其他各初始匹配特征点所处区域的编号构成的矢量来描述该初始匹配特征点的全局特征；对两个矢量进行比较，如果相似度达到要求，则为正确的匹配特征点对。本发明方法不仅适应于图像尺度变化、图像嵌套、视角变化等复杂情况下的图像检索，而且具有较高的检索效率和识别准确率。本发明还相应公开了一种图像检索/匹配系统。

公开(公告)号：CN118673492A

公开(公告)日：2024-09-20

申请号：CN202410531244.6

申请日：2024-04-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 白寿颖 ,  楼书逸 ,  严定宇 ,  严寒冰 ,  李超 ,  张榜

IPC: G06F21/56 ,  G06F21/55

Abstract: 本申请提供一种面向移动应用WebView页面用户敏感输入的检测方法及相关设备。通过对待测移动应用进行动态执行，获取多个第一页面布局文件；对多个第一页面布局文件进行自动化测试，得到第二页面布局文件；通过组件识别方法识别第二页面布局文件和与第二页面布局文件对应的页面截图，得到能够接收用户输入的敏感组件集合；识别页面截图的文本信息，通过预先训练好的模型得到候选文本和候选文本位置坐标；根据敏感组件和敏感组件位置坐标，候选文本和候选文本位置坐标，确定与敏感组件匹配的提示词；根据提示词，确定敏感组件收集的信息类型，最终能够输出移动应用WebView页面的用户敏感输入，对于移动应用隐私合规分析具有重要意义。

公开(公告)号：CN115333768B

公开(公告)日：2024-06-04

申请号：CN202210759105.X

申请日：2022-06-29

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 吕志泉 ,  王宏宇 ,  贺铮 ,  韩志辉 ,  严寒冰 ,  周昊 ,  刘玲 ,  严定宇 ,  高川 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40 ,  H04L41/0604 ,  H04L41/0631 ,  G06F18/22 ,  G06F16/901 ,  G06F40/284 ,  G06F40/30

Abstract: 本发明是有关于一种面向海量网络攻击数据的研判方法、系统及介质，涉及网络安全技术、人工智能、大数据领域，其中方法包括：对海量网络攻击数据进行自动化特征抽取，根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判，通过人工研判结果对数据进行标注，利用标注后的数据与剩余网络攻击数据进行相似性计算，对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选，直至全部标注完毕。此方法，通过研判人员能力的约束结合算法的泛化能力，使得有价值的网络攻击可以优先被研判，相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量，整体提升研判效率。